Ciblé et personnalisé, le spear phishing explose

Août 17, 2021 | Cyber Security | 0 commentaires

En raison de sa nature hyper-ciblée, le spear phishing peut être encore plus dangereux que le phishing traditionnel.

Principale menace des entreprises luxembourgeoises, le spear phishing connait une forte croissance, observe l’équipe Cyberforce de POST.

Moins de campagnes de phishing durant le deuxième trimestre 2021. On ne peut que s’en féliciter. Néanmoins, les campagnes de phishing représentent toujours une majorité d’incidents… à près de 50% du nombre d’incidents recensés par le CSIRT de POST.

Chaque trimestre, l’équipe Cyberforce de POST Luxembourg expose dans un rapport intitulé «Météo de la Cybersécurité» l’état et les tendances en matière de cybermenaces au Grand-Duché, tels que perçus via la gestion des incidents de sécurité par le CSIRT (Computer Security Incident Response Team) de POST. Si le phishing figure en tête des menaces, la «météo» du deuxième trimestre signale aussi des milliers d’appels à caractère frauduleux reçus au Luxembourg provenant de groupes usurpant l’identité de Microsoft, une activité importante en ransomware et des attaques DDoS avec un pic volumétrique à 7,8 Gbps sur le réseau de l’opérateur public.

Hyper-personnalisé

«Nous constatons une diminution significative du nombre de campagnes de phishing de type bulk, c’est-à-dire sans cible particulière, commente Abdeldjalil Bouroui, Head of CSIRT POST Cyberforce. En revanche, le spear phishing -ciblé et personnalisé pour un individu, un groupe ou une organisation spécifique- explose.»

En raison de sa nature hyper-ciblée, le spear phishing peut être encore plus dangereux que le phishing traditionnel. Le ton et le contenu familiers d’un message de spear phishing le rendent plus difficile à détecter pour l’utilisateur moyen, augmentant le niveau de menace de ce type de cyberattaque.

De fait, les e-mails de spear phishing sont rédigés de manière plus convaincante que les e-mails de phishing. Le contenu du message est positionné comme venant de quelqu’un que le destinataire connaît ou en qui il a confiance. Aussi, il est plus difficile de résister à l’utilisation d’un ton urgent. La victime sera tentée de prendre des mesures, qu’il s’agisse d’éviter une perte importante, des frais juridiques ou la fermeture d’un compte.

Bien rédigés, ces messages incluent souvent des liens vers de faux sites Web ou des pièces jointes infectées par des logiciels malveillants, des ransomwares ou des logiciels espions. Parfois, il n’y a pas de pièces jointes ou de liens malveillants. Mais, toujours, les messages contiennent des instructions que le destinataire doit suivre… ce qui les rend encore plus difficiles à repérer avec les filtres de sécurité des e-mails.

L’effet COVID-19 multiplie les risques

Le niveau de difficulté de détection du spear phishing, associé à l’augmentation de la main-d’œuvre distante depuis le début de la pandémie et à l’affaiblissement des précautions techniques, en a fait un outil de choix pour les cybercriminels du monde entier.

Des données récentes ont décrit le spear phishing comme une menace en croissance rapide pour les individus et les organisations. En 2019, avant les défis liés au COVID-19, 65 % des groupes d’attaque utilisaient déjà le spear phishing comme principal vecteur d’infection.

Quant aux identités usurpées et la cible des attaquants, POST relève notamment les identifiants Webmail (pt.lu), MyPOST (données personnelles), les identifiants cloud de Microsoft, mais aussi DHL, LuxTrust les identifiants de carte bancaire et numéros de token.

Activités dissimulées

«De plus, nous observons l’utilisation de techniques nouvelles permettant d’augmenter la durée de vie des campagnes, rendant les possibilités de remédiation plus complexes. Ainsi, poursuit Abdeldjalil Bourouis, les cybercriminels n’hésitent plus à utiliser des techniques d’évasion pour du phishing. Par exemple, en limitant l’exposition du contenu malveillant aux visiteurs d’une zone géographique basée sur l’adresse IP ou spécifique à un contexte combinant adresse IP, horodatage et identifiants auto-générés par le navigateur des victimes.»

C’est ainsi que lors d’un signalement d’une URL au CSIRT POST CyberForce, un blocage par adresse IP se traduit par l’affichage de publicité sans rapport avec l’attaque, d’une page blanche ou d’une page «404 not found».

Les cybercriminels dissimulent leurs activités pour éviter d’être détecté par les défenseurs et leurs outils de renseignement.

Google LLC (=)

CloudFlare Inc. (+1)

Bitly Inc (+4)

DigitalOcean LLC (+1)

Online SAS (-1)

Microsoft Corporation (+3)

A100 ROW GmbH (-3)

Namecheap Inc. (New)

Weebly Inc. (New)

OVH SAS (-2)

Sommaire
Ciblé et personnalisé, le spear phishing explose
Titre
Ciblé et personnalisé, le spear phishing explose
Description
Principale menace des entreprises luxembourgeoises, le spear phishing connait une forte croissance, observe l’équipe Cyberforce de POST.
Auteur
Editeur
Soluxions Magazine
Logo